Menu Sluiten

Cybersecurity Incidenten:
Detecteren en reageren.

 

Snel doorgaan na een cybersecurity incident

Verschillende rapportages laten zien dat cybersecurity aanvallen enorm toenemen in aantallen en dat veel incidenten leiden tot een datalek. De Verizon Databreach Investigation Report 2020 rapporteert bijvoorbeeld 32002 security incidenten waarvan 3950 tot het verlies van data hebben geleid. Deze cijfers betekend dat gemiddeld ieder uur 3,65 security incidenten plaatsvinden en in een meerderheid van de incidente is de aanvaller binnen een dag succesvol.

Het Nationaal Cyber Security Centrum laat in het Cybersecuritybeeld Nederland 2020 een vergelijkbaar beeld zien. Zo concludeert het NCSC dat de digitale risico's onverminderd groot zijn en dat de digitale weerbaarheid nog niet op orde is. Cybersecurity incidenten kunnen een grote, zelfs mondiale impact hebben. Een combinatie van  een grootschalige cybersecurity aanval en de COVID-19 pandemie zou grote gevolgen kunnen hebben.
Anderzijds is de impact van kwetsbaarheden in software zeer groot. Een recent voorbeeld is de kwetsbaarheid in de Citrix software, waardoor organisaties gehackt zijn, telewerken niet mogelijk was. Het gevolg was hierbij ook op de weg zichtbaar met lange files.

Het NCSC ziet een trend dat ransomware wordt ingezet door cybercriminelen om slachtoffers onder druk te zetten losgeld te betalen in de vorm van Bitcoin. Hierbij wordt gekeken naar organisaties die ook in staat zijn om het losgeld te betalen. Cybercriminelen moeten hiervoor langere tijd in het netwerk rondhangen om de waarde van de data en het te eisen losgeldbedrag te bepalen. Data wordt hierbij veelal niet alleen versleuteld, maar ook gekopieerd om dit openbaar te maken wanneer er geen losgeld wordt betaald.

Onderzoek laat zien dat cybersecurity incidenten:

Binnen een dag succesvol zijn
%
Een financieel motief hebben
%
Zijn ontstaan door hacking
%
Social engineering is toegepast
%

Cybersecurity incident detectie

Nadat barrieres zijn opgezet om cybrcriminelen buiten de deur te houden, kwetsbaarheden zijn gezocht en opgelost is de tweede laag detectie. Om een incident te kunnen detecteren is informatie uit verschillende systemen nodig in de vorm van log bestanden. Deze logbestanden moeten volledig zijn en niet alleen geblokkeerde activiteiten bevatten. Een gebruiker die na 10 keer ineens succesvol inlogt op de applicatie is een verdachte activiteit. De gebruiker kan na de vakantie zijn wachtwoord zijn vergeten, maar het kan ook dat een hacker succesvol het wachtwoord heeft geraden.

Door alle logbestanden samen te brengen in een centraal opslag systeem kun je gaan zoeken naar verdachte zaken, ofwel het opstellen van use-cases. Deze use-cases kun je vervolgens omzetten in zoekopdrachten binnen je logbestanden. Kennis van de infrastructuur en normaal gebruikers gedrag binnen applicaties is hierbij belangrijke input.
Detectie van security incidenten heeft een relatie met het opzetten van de preventieve laag. Het aanzetten van de mogelijkheden om log bestanden op te slaan is hier een voorbeeld van. Dit geldt niet alleen voor IT systemen in het eigen domein, maar ook voor software oplossingen in de cloud (SaaS).

Informatie bij het bepalen van de use-cases kun je halen uit bronnen als Mitre Att&ck of het Magma framework. Deze frameworks bevatten hulpmiddelen om te bepalen welke log informatie kan duiden op een potentiële aanval.

SIEM tooling en SOC

Een Security Operations Center (SOC) of Cyber Defence Center (CDC) is de digitale meldkamer die een onderzoek gaat starten wanneer uit de log bestanden blijkt dat een aanval bezig is. Specialistische software is in staat om honderden aanvalsfactoren te herkennen op basis van specifieke kenmerken.
Omdat een SOC enorm specialistisch werk is en veel dure applicaties vereist wordt deze functie veelal uitbesteed aan commerciële security providers. Zij houden 24 uur per dag je infrastructuur in de gaten en reageren wanneer een aanval gedetecteerd wordt. Dit veelal voor een vaste prijs per aangesloten apparaat.

Bij het uitbesteden van deze functies moet de organisatie goed kijken naar het soort aanvallen die ze willen detecteren, welke organisatie specifieke use-cases nodig zijn en hoe de organisatie omgaat met een detectie. Dit onderdeel maakt het succes van het SOC en de verwachte resultaten.

25 North heeft bij meerdere organisaties de samenwerking met een extern SOC verbeterd door use-cases te schrijven, logbronnen te controleren en testcases te schrijven die bepalen of detectie mogelijk is. Hierbij zijn wij intermediair tussen het externe SOC en uw organisatie. Dit verhoogt de kwaliteit van de dienstverlening en garandeert de werking juiste van het SOC.
Wanneer u gebruik maakt van een CISO van 25 North maakt het inzetten van detectie onderdeel uit van de werkzaamheden.

Bij het opstellen van de use-cases maken we onderandere gebruik van de Mitre Att&ck en Magma frameworks.

Cybersecurity incident response

Wat moet je doen wanneer je overvallen wordt door een cybersecurity incident, het lekken van persoonsgegevens, gehackte website of phishing campagne verzonden uit jouw naam. Door hier vooraf plannen voor op te stellen en dit af en toe te oefenen draait uw organisatie zijn hand niet om voor een security incident.

Bedrijfscontinuïteit

De impact van een security incident kan groot zijn voor uw organisatie. Uw klanten raken het vertrouwen in u kwijt en gaan naar een andere leverancier; Informatie die nodig is om uw werk uit te voeren is niet meer beschikbaar; Uw bedrijfsgeheimen zijn voor iedereen, inclusief uw concurrentie te lezen.
Zomaar enkele voorbeelden van de impact van een security incident. Omdat uw primaire bedrijfsprocessen geraakt worden, is er sprake van de bedreiging van het voortbestaan van de organisatie. Bedrijfscontinuïteitsplannen bevatten alle noodzakelijke informatie om snel weer door te gaan na een incident.

Workshop red de organisatie

Bij 25 North geloven we niet in uitgebreide continuïteitsplannen, vooral niet voor het MKB. Het belangrijkste is te weten hoe je wilt reageren op een incident, welke systemen echt belangrijk zijn voor de bedrijfsvoering, Welke alternatieven zijn voor handen en wie kunnen je helpen?
Ofwel, laten we eens doen alsof we gehackt zijn en daarna opschrijven wat werkte tijdens de workshop. Het resultaat is een kort plan met contact personen, acties, communicatie structuren.

Red teaming

Wanneer de plannen bestaan, is het belangrijk deze af en toe te oefenen. Ook hierbij gaan we weer aan de slag met een simulatie en voor je het weet staan journalisten voor de deur en sta je in de krant.
Bij de meeste oefeningen blijven de plannen en leerpunten goed hangen door deze extra dimensie.